IT-Partner+

In den frühen Morgenstunden eines Frühlingsdonnerstags stand ITPartners+ vor einer großen Herausforderung im Bereich Cybersicherheit: Ein Ransomware-Angriff, der auf einen ihrer Kunden abzielte. Der Angriff wurde von der Akira-Ransomware-Gruppe gestartet. Die Angreifer verloren keine Zeit und begannen, wichtige Server zu verschlüsseln und sich so schnell wie möglich im Netzwerk zu verbreiten. Der Zeitpunkt des Angriffs, kurz vor dem Memorial Day-Feiertagswochenende, war ein gängiger strategischer Schachzug der Angreifer, um die Wahrscheinlichkeit einer Lösegeldzahlung zu erhöhen.

Chad McDonald, CTO von ITPartners+, erinnert sich: „Wir hatten schon andere Cybervorfälle, aber nicht in der Größenordnung eines Ransomware-Angriffs. Dies war das erste Mal, dass wir einen aktiven Ransomware-Angriff auf eine Umgebung erlebt haben.“

Die erste Warnung kam über die RocketCyber , eine wichtige Komponente der Cybersicherheitsmaßnahmen des Unternehmens.

Casey Postma, Leiter Cybersicherheit bei ITPartners+, reagierte als Erster. Er entdeckte den Angriff, als er früh aufwachte und seine E-Mails checkte. Casey erklärte: „Ich wachte etwa eine Stunde vor meinem Wecker auf und beschloss, meine E-Mails zu checken. Ich stellte fest, dass Datto Managed SOC ein Notfallticket Managed SOC und uns angerufen hatte.“ Diese frühzeitige Erkennung war entscheidend für die Begrenzung des Schadens.

Dank der fortschrittlichen Funktionen von Datto zur Erkennung von Bedrohungen wurde um 4:59 Uhr morgens der erste Hinweis auf eine Kompromittierung identifiziert. Zwischen 5:00 und 5:15 Uhr isolierten Datto und sein erfahrenes SOC-Team dann über 30 Geräte, um die Ausbreitung zu stoppen und gleichzeitig bösartige Prozesse zu beenden. „Die Reaktionszeit betrug etwas mehr als eine Minute vom Beginn der Verschlüsselung, die den Alarm auslöste, bis zur Reaktion der Ransomware-Richtlinie. Das war äußerst beeindruckend“, sagte Casey. Durch diese schnelle Isolierung wurde verhindert, dass sich die Ransomware auf andere Teile des Netzwerks ausbreitete.

Nachdem die unmittelbare Gefahr gebannt war, koordinierte ITPartners+ eine umfassende Reaktion. Dazu gehörte auch die Kontaktaufnahme mit dem Cybersicherheitsversicherer des Kunden, der ein Forensikteam hinzuzog, um die Situation weiter zu untersuchen. „Es waren die eindeutigen Anzeichen der Akira-Ransomware, die uns klar machten, dass es sich tatsächlich um einen schwerwiegenden Vorfall handelte“, erklärte Casey.

Der Wiederherstellungsprozess war aufwendig und erforderte die koordinierte Zusammenarbeit mehrerer Teammitglieder. Durch den Einsatz von Datto EDR und die Unterstützung durch die SOC-Experten von Datto gelang es ITPartners+, die betroffenen Server erfolgreich zu isolieren, wodurch die Ransomware eingedämmt und der Schaden minimiert werden konnte. Chad hob die entscheidende Rolle dieser Tools hervor: „Die Leistungsfähigkeit unseres Teams und die der uns zur Verfügung stehenden Tools – Datto Managed SOC, Datto EDR, Datto BCDR, RMM waren entscheidend dafür, die Ausbreitung zu stoppen und die betroffenen Systeme wiederherzustellen.“

Während der Wiederherstellung stellte das Team die Server mithilfe von Datto BCDR aus Backups wieder her und stellte so sicher, dass die Daten des Kunden intakt waren und der Betrieb wieder aufgenommen werden konnte. Der Kunde von ITPartners+ war am ersten Tag nach dem Feiertagswochenende wieder voll einsatzfähig. Diese schnelle Bearbeitung war entscheidend, um Ausfallzeiten zu reduzieren, Verluste zu minimieren und die Geschäftskontinuität sicherzustellen.

Die Zusammenarbeit zwischen ITPartners+ und Kaseya erwies sich als wirksamer Schutz gegen den Akira-Ransomware-Angriff, bei dem die schnelle Erkennung und Isolierung infizierter Systeme umfangreiche Schäden verhinderte und eine rasche Wiederherstellung ermöglichte. Der Kunde von ITPartners+ lobte das Unternehmen für seine effektive Reaktion, durch die die potenziellen Auswirkungen des Angriffs erheblich gemindert werden konnten.

Chad reflektierte über den Vorfall und sagte: „Dies ist einer dieser Vorfälle, bei denen man diese Theorie wirklich auf die Probe stellen kann, bei denen man entweder mit dem Ergebnis weggeht, dass es das getan hat, was wir wollten, und wir ein positives Ergebnis haben, oder man geht mit dem Gefühl weg, dass man die falsche Wahl getroffen hat. In diesem Fall gingen wir mit dem Gefühl weg, dass wir das richtige Produkt und den richtigen Anbieter ausgewählt hatten.“

ITPartners+ hat einen potenziell verheerenden Ransomware-Angriff erfolgreich abgewehrt und damit sein Bekenntnis zu seinen Grundwerten unter Beweis gestellt: Großartige Arbeit leisten, Spaß daran haben und groß denken. Dank seines proaktiven Ansatzes in Verbindung mit den fortschrittlichen Funktionen von Datto Managed SOC Datto EDR konnte der Kunde seinen normalen Betrieb mit minimalen Unterbrechungen wieder aufnehmen.

Diese Fallstudie unterstreicht, wie wichtig ein kompetentes Team und zuverlässige Cybersicherheitstools sind, um sich ständig weiterentwickelnde Cyberbedrohungen wirksam zu bekämpfen.